1、技术要求:①访问控制需实现细粒度权限划分(按角色 / 岗位限定数据访问范围,如住院医生仅可查看分管病区患者信息);②部署数据库审计设备,记录所有数据增删改查操作,日志保存期限≥6 个月;③核心数据传输采用 SM4 国密算法加密,存储采用透明加密技术;④建立异地灾备体系,RTO(恢复时间目标)≤4 小时,RPO(恢复点目标)≤15 分钟;⑤部署入侵防御系统(IPS),阻断 SQL 注入、命令注入等攻击。 2、管理要求:①成立专职信息安全团队(至少 2 名持证安全管理员);②每季度开展一次漏洞扫描,每年进行一次渗透测试;③制定完善的应急响应预案,每半年组织一次演练;④员工安全培训覆盖率 100%,考核合格方可上岗。核心业务系统:诊疗数据的生成与流转中枢
等保分级具体要求
1、技术要求:①实现账号密码登录(密码长度≥8 位,含大小写字母 + 数字);②保留操作日志≥3 个月,可追溯关键操作(如收费修改、患者信息变更);③每周进行一次本地数据备份,每月进行一次备份恢复测试;④部署防病毒软件,病毒库更新频率≥每周 1 次。
实现了患者诊疗信息的结构化记录与全程追溯,是临床决策的主要数据来源。其核心功能包括结构化病历录入(支持模板化与自由文本结合)、诊疗计划管理(医嘱开具与执行跟踪)、会诊管理(多科室协同诊疗记录)和临床路径管理(标准化诊疗流程控制)。EMR 系统通过集成平台与 HIS、LIS、PACS 等系统无缝对接,自动归集患者的检验结果、影像报告和用药记录。
2、管理要求:①电子病历数据需定期异地备份,备份介质异地存放(距离≥50 公里);②制定电子病历数据保密制度,与医护人员签订保密协议;③每季度对病历访问日志进行审计,排查异常访问行为;④每年通过第三方等保测评,确保合规性。
通常协同工作,构成放射科数字化诊疗的完整解决方案。RIS 负责影像检查的全流程管理,包括检查预约、技师排班、报告审核和科室质控;PACS 则专注于医学影像的获取、传输、存储和后处理,支持 DICOM 标准格式的影像文件在不同设备间流转。医学影像存档与通信系统(PACS)与放射信息系统(RIS)
三级等保(三甲医院):
二级等保(非三甲医院):
实现了临床检验全过程的标准化管理与质量控制。其核心功能包括检验申请接收(与 HIS/EMR 无缝对接)、标本条码化追踪(从采集到报告的全链溯源)、检验设备自动化数据采集(减少人工录入错误)和危急值自动预警(如血钾危急值实时推送至医生工作站)。 支撑管理系统虽不直接参与临床诊疗,却通过优化资源配置、规范管理流程,为医院高效运转提供关键支撑,是现代医院精细化管理的重要工具。 是整合医院人、财、物资源的一体化管理平台,其核心价值在于实现运营数据与临床数据的联动分析。HRP 通常包含人力资源管理、物资管理、财务管理和成本核算四大核心模块。等保分级具体要求
等保分级具体要求(统一按二级等保执行)
1、技术要求:①系统部署在医院内部局域网,禁止互联网直接访问;②账号权限按部门 / 岗位划分,如财务人员仅可操作成本核算模块;③财务数据(如薪酬、采购金额)存储加密,传输采用内网加密协议;④操作日志保存≥3 个月,可追溯财务数据修改、物资出库操作;⑤每周进行一次全量数据备份,每月进行一次增量备份。
2、管理要求:①制定 HRP 系统权限管理制度,新增 / 删除账号需审批;②财务数据需定期对账,确保账实相符;③每半年开展一次系统安全自查,重点检查财务模块漏洞;④HRP 管理员需持证上岗(如信息系统项目管理师)。
实现了医院行政办公与业务管理的数字化转型,核心功能包括公文流转(收发文线上处理)、会议管理(日程安排与纪要分发)、审批流程(请假、报销等标准化审批)和知识库建设(规章制度与操作规范集中管理)。等保分级具体要求
二级等保(不涉及敏感信息):
三级等保(涉及运营敏感信息,如医院战略规划、重大采购方案):
构建了医疗设备全生命周期的规范化管理体系,涵盖设备采购论证、入库登记、维修保养、计量校准直至报废处置的全过程。等保分级具体要求(统一按二级等保执行)
1、技术要求:①设备信息(如采购价格、维修记录)存储在内部数据库,禁止互联网访问;②账号权限按角色划分(如设备管理员、维修工程师),限制数据修改权限;③设备条码 / RFID 数据与系统交互时,需进行完整性校验;④操作日志保存≥3 个月,可追溯设备入库、报废操作。
2、管理要求:①制定医疗设备数据管理制度,确保数据真实准确;②每半年核对设备台账与实物,排查数据差异;③设备维修记录需及时录入系统,避免遗漏关键信息。
为医护人员专业能力提升提供数字化学习平台,包含在线课程库、学分管理、考核评估等功能模块。等保分级具体要求(统一按二级等保执行)
1、技术要求:①学员账号采用实名制注册,登录密码需定期(90 天)更换;②课程视频、考核试题存储在内部服务器,禁止批量下载;③考核成绩生成后不可修改,记录保存至学员结业;④系统日志保存≥3 个月,可追溯学员学习、考试操作。
2、管理要求:①制定学员信息保护制度,禁止泄露学员学习数据;②每季度更新课程内容,确保培训时效性;③每年检查系统运行状态,修复已知漏洞。
协同交互系统打破了传统医疗服务的时空限制,通过构建院内院外、线上线下的一体化服务体系,延伸了医疗服务半径,提升了患者就医体验。 构建了线上线下融合的诊疗服务新模式,核心功能包括在线问诊(图文 / 视频咨询)、复诊续方(慢性病患者在线配药)、报告查询(检验检查结果推送)和健康管理(个性化健康指导)。等保分级具体要求(统一按三级等保执行)
1、技术要求:①部署抗 DDoS 防护系统,抵御≥10Gbps 流量攻击;②App 采用加固技术(防逆向、防篡改、防调试),避免源码泄露;③患者隐私数据(如问诊记录、处方信息)存储采用 SM4 加密,传输采用 TLS 1.3 协议;④在线支付模块符合 PCI DSS 标准,保障支付安全;⑤实现用户行为审计,记录登录、问诊、购药操作,日志保存≥6 个月;⑥建立多区域灾备中心,RTO≤2 小时,RPO≤5 分钟。
2、管理要求:①成立互联网医疗安全应急小组,7×24 小时监控系统运行;②每季度开展一次 App 安全检测,修复高危漏洞;③与第三方安全厂商合作,提供实时威胁情报;④每年通过第三方等保测评,获取三级等保备案证明;⑤制定患者数据泄露应急预案,发生泄露时 48 小时内上报监管部门。
作为患者就医的入口系统,承担着分流患者、优化医疗资源配置的重要功能。其核心模块包括号源管理、多渠道预约、智能分诊和排队叫号。等保分级具体要求
二级等保(普通门诊挂号模块):
1、技术要求:①号源数据存储在内部服务器,禁止外部直接访问;②用户预约时需进行身份验证(如身份证号 + 手机号验证);③预约记录保存≥3 个月,可追溯预约人、预约时间;④部署防刷号机制(如限制单账号每日预约次数≤3 次)。 2、管理要求:①制定号源管理制度,禁止内部人员私自占用号源;②每季度检查预约系统日志,排查刷号行为;③节假日前后增加系统巡检频次,保障服务可用性。
三级等保(专家门诊 / 稀缺号源模块):
1、技术要求:①号源释放采用动态验证码机制,防止机器抢号;②预约数据传输采用加密通道,避免号源信息泄露;③部署预约行为分析系统,实时识别异常预约(如同一 IP 多次预约);④专家号预约记录需保存≥6 个月,支持监管部门溯源。 2、管理要求:①专家号源分配需公开透明,接受内部监督;②每月审计专家号预约数据,排查违规预约;③与公安部门对接,验证用户身份真实性,防止冒用他人身份预约。 实现了不同医疗机构间的信息共享与业务协同,是分级诊疗政策落地的关键技术支撑。等保分级具体要求(统一按三级等保执行)
1、技术要求:①跨机构数据共享采用 “数据不动模型动” 模式,或对共享数据脱敏(如隐藏患者身份证中间 6 位、手机号中间 4 位);②机构间访问采用基于数字证书(CA)的身份认证,确保身份可信;③共享数据传输采用国密算法(SM2/SM4)加密,防止中途泄露;④部署跨机构数据审计系统,记录数据调阅、使用操作,日志保存≥1 年;⑤建立数据共享白名单,仅授权医疗机构可访问指定数据。
2、管理要求:①制定区域医疗数据共享管理办法,明确数据共享范围与权限;②成立平台安全管理委员会,统筹各机构安全责任;③每季度开展跨机构数据共享安全检查,排查违规使用;④每年组织一次区域医疗数据安全应急演练,提升协同处置能力。
虽不直接面向用户提供服务,却是实现各系统互联互通的 “数字神经中枢”。通过企业服务总线(ESB)技术,实现 HIS、EMR、LIS 等异构系统的数据交换与业务协同。 1、技术要求:①ESB 总线采用集群架构,避免单点故障,保障服务可用性;②系统间接口调用采用 OAuth 2.0 授权机制,防止未授权调用;③接口数据传输采用 TLS 1.3 加密,接口日志保存≥6 个月;④部署集成平台监控系统,实时监测接口调用成功率、响应时间,异常时自动报警;⑤核心接口(如 HIS-EMR 数据同步)需进行数据完整性校验,确保数据一致。 2、管理要求:①制定接口开发与变更管理制度,新增接口需经过安全评估;②每季度审计接口调用日志,排查异常调用(如高频次调用、非授权 IP 调用);③接口文档需加密存储,仅授权开发人员可查阅;④每年对集成平台进行渗透测试,修复高危漏洞。等保分级具体要求
三级等保(核心集成层):
二级等保(非核心集成层,如 OA-HRP 数据同步):
1、技术要求:①接口调用采用账号密码认证,密码定期更换;②接口数据传输采用普通加密协议(如 HTTPS);③接口日志保存≥3 个月,可追溯调用记录;④定期(每月)检查接口运行状态,确保数据同步正常。 2、管理要求:①接口变更需提前通知相关系统负责人;②每半年开展一次非核心接口安全自查,排查潜在风险。
